LCL LE CREDIT LYONNAIS

Transcription

1 LCL LE CREDIT LYONNAIS Politique de signature LCL Clientèle des particuliers et professionnels Date : 02/07/2007 Version : 1.0 LCL LE CREDIT LYONNAIS PAGE 1/13

2 TABLE DES MATIERES 1 OBJET GLOSSAIRES ET DEFINITIONS GLOSSAIRE ET LISTE DES ACRONYMES UTILISÉS DÉFINITIONS DES TERMES UTILISÉS DANS LA POLITIQUE DE SIGNATURE POLITIQUE DE SIGNATURE ELECTRONIQUE DÉNOMINATION ET IDENTIFICATION CHAMP D APPLICATION LISTE D AUTORITÉS DE CERTIFICATION CONCERNÉES PAR LA POLITIQUE DE SIGNATURE MODIFICATION ET APPLICATION DE LA POLITIQUE DE SIGNATURE PUBLICATION, DÉPÔT ET DIFFUSION FRÉQUENCE DE DIFFUSION CONTRÔLE D ACCÈS ARCHIVAGE COORDONNEES DES ENTITÉS RESPONSABLES DE LA POLITIQUE DE SIGNATURE Organisme responsable Contact RÉFÉRENCES NORMATIVES ET TECHNIQUES INTERVENANTS RÔLE Rôle de l Autorité de Certification Rôle du Signataire Rôle de l'applicatif Accepteur LCL Rôle de l Autorité de Validation OBLIGATIONS Obligations de l Autorité de Certification Obligations incombant au Signataire Obligations incombant à l Applicatif Accepteur LCL SIGNATURE ELECTRONIQUE ET VALIDATION DONNÉES SIGNÉES CARACTÉRISTIQUES DES SIGNATURES Type de signature Norme de signature ALGORITHMES UTILISABLES POUR LA SIGNATURE Algorithme de condensation Algorithme de chiffrement CONDITIONS POUR DÉCLARER VALIDE LES DONNÉES SIGNÉES EFFETS DE LA SIGNATURE ELECTRONIQUE VALIDÉ DISPOSITIONS JURIDIQUES DROIT APPLICABLE DONNÉES NOMINATIVES LCL LE CREDIT LYONNAIS PAGE 2/13

3 1 OBJET Ce document constitue la inhérente aux services de signature électronique LCL à destination de la clientèle des particuliers et professionnels personnes physiques du Crédit Lyonnais. Une politique de signature est un document décrivant les règles à suivre pour créer et valider des Signatures électroniques dans le cadre d échanges électroniques prédéfinis, dans le but d en assurer la fiabilité et l intégrité et d authentifier le client signataire d un contrat ou d une transaction avec LCL, ci-après définit comme le «Signataire». Elle est composée d un ensemble de règles et de dispositions définissant les exigences auxquelles chacun des acteurs impliqués se conforme et qui régit la création et la vérification de la validité des signatures électroniques. La présente a pour seul objet de présenter la synthèse des prestations fournies par le CREDIT LYONNAIS, ci-après pris nommément ou désigné «LCL», soit en qualité de Prestataire de services de signature électronique, soit en qualité d' Applicatif- Accepteur à ses clients, tels que définis à l article 3.2 des présentes, avec lesquels il conclut les conventions appropriées. Elle n'a pas d'effet contractuel par elle-même et ne peut créer aucune obligation de LCL envers les tiers. LCL LE CREDIT LYONNAIS PAGE 3/13

4 2 GLOSSAIRES ET DEFINITIONS 2.1 GLOSSAIRE ET LISTE DES ACRONYMES UTILISES AC AV / AVS CN CRL DN FQDN ICP LCR OID PC PFV PKI PV PS SSL TLS Autorité de Certification / Autorité Certifiante Autorité de Validation / Autorité de Vérification de Signature Common Name - Nom commun Certificate Revocation List, ou LCR (Liste des Certificats Révoqués) Distinguished Name Fully Qualified Domain Name Infrastructure à Clés Publiques, ou PKI Liste des Certificats Révoqués, ou CRL Object Identifier Politique de Certification Plate-Forme de Validation Public Key Infrastructure, ou ICP (Infrastructure à Clés Publiques) Politique de Validation Secure Sockets Layer Transport Layer Security 2.2 DEFINITIONS DES TERMES UTILISES DANS LA POLITIQUE DE SIGNATURE Accepteur (de certificat) : destinataire d un certificat, qui agit en faisant confiance à ce certificat et/ou à une Signature Électronique vérifiée grâce à ce certificat. Ce peut être une entité responsable d une application utilisant les services de certification, ou une personne physique. Bien qu un Porteur puisse être Accepteur de certificat (par exemple dans le cadre de la vérification d une signature de courriel ou d un accusé de réception émis par une application), il est considéré dans le reste de ce document que seules les applications (processus automatiques) peuvent tenir le rôle d Accepteurs. Il sera alors question d Applicatifs Accepteurs. Applicatif Accepteur : processus en principe automatisé («applicatif») destinataire d un certificat ou d une signature. Voir «Accepteur». Authentification : vérification de l'identité d'une personne ou d'une application. L authentification est l un des services rendus par une PKI grâce à l utilisation conjointe d un certificat et de la clé privée associée : un porteur peut s authentifier par exemple pour accéder à la plate-forme d une application en présentant son certificat et par le biais d un mécanisme de signature numérique. Autorité de Certification : entité, composante de base de la PKI, qui délivre des certificats à une population de porteurs ou à d autres composants d infrastructure. L Autorité de Certification sert de caution morale en s'engageant sur l'identité d'une personne au travers du certificat qu'elle lui délivre et qu elle signe à l aide de sa clé privée. Autorité de Validation (AV) : composante d infrastructure à qui un Accepteur peut déléguer la validation des certificats qui lui sont présentés. Il incombe alors à l Autorité de Validation de prendre en charge des vérifications permettant de déterminer si l accepteur peut ou non se fier au certificat ou à la signature qui lui est présenté(e). La composante technique de l Autorité de Validation est nommée Plate Forme de Validation. Bi-clés : couple de clés cryptographiques, composé d'une clé privée (devant être conservée secrète) et d'une clé publique (largement diffusée par le biais du certificat). Ce couple de clés permet, par le biais de divers mécanismes, de rendre des services de sécurité comme la non répudiation, l authentification, la confidentialité et l intégrité. LCL LE CREDIT LYONNAIS PAGE 4/13

5 Certificats référencés (famille de) : famille de certificats numériques concernée par la présente et émise par l une des Autorités de Certification énumérées au paragraphe 3.3 de la présente Politique. Certificat (numérique) d identité : pièce d'identité électronique dont le contenu est garanti par une Autorité de Certification. Il permet dans les transactions électroniques d attester de la correspondance entre une clé publique et l'identité de son titulaire. Il contient donc des informations qui permettent cette identification (nom, prénom, etc.). Chaîne de confiance (chemin de certification) : ensemble ordonné des certificats nécessaires pour vérifier la filiation d'un certificat donné. Compromission : une clé privée est dite compromise lorsqu'elle est utilisable ou a été utilisée par d'autres personnes que celles habilitées à la mettre en œuvre. Infrastructure à Clé Publique (ICP ou PKI Public Key Infrastructure) : ensemble de composants, fonctions et procédures dédiés à la gestion de clés et de certificats utilisés par des services de sécurité basés sur la cryptographie à clé publique. Object IDentifier (ou OID) : identifiant alphanumérique unique enregistré conformément à la norme d'enregistrement ISO pour désigner un objet ou une classe d'objets spécifiques. Outil de signature : application de confiance fonctionnant sur le poste de travail du signataire, lui permettant de visualiser les documents à signer, et de choisir en pleine connaissance de cause de signer électroniquement ou non le document. Plate Forme de Validation : composante technique de l Autorité de Validation. Politique de Certification (PC) : ensemble de règles définissant les exigences auxquelles chacun des acteurs impliqués se conforme et qui indique le niveau de sécurité commun accordé aux certificats. (PS) : ensemble de règles et dispositions pour la création et la validation d'une Signature Électronique, suivant lesquelles une signature peut être déclarée valide. Ces règles définissent des exigences à la fois techniques et procédurales. Porteur (de certificat) : personne physique titulaire d un certificat. Révocation (d'un certificat) : opération de mise en opposition qui entraîne la suppression de la caution apportée par l Autorité de Certification sur un certificat donné avant la fin de sa période de validité. Par exemple, la compromission, la destruction d'une clé privée, le changement d'informations contenues dans un certificat ou encore le non-respect des règles d'utilisation du certificat doivent conduire à la révocation du certificat. Signataire : personne physique qui crée une Signature Électronique à l'aide de son certificat. Signature Électronique : une donnée qui résulte de l'usage d'un procédé répondant aux conditions définies à l'article du code civil. En particulier et comme indiqué dans ce même article, la Signature Électronique manifeste le consentement de chaque signataire aux obligations qui découlent de l acte de signature (à l instar de la signature manuscrite). Titulaire de certificat : sujet qui s est vu délivrer un certificat par une AC. Lorsque le titulaire est une personne physique, cette dernière est également appelée «porteur». Vérification de validité (d un certificat) : opération de contrôle du statut d'un certificat (ou d'une chaîne de certification). Un certificat référencé peut être dans l'un des trois états suivants : valide, expiré ou révoqué. Vérification de validité (d une signature) : opérations de contrôle, permettant de s assurer que la signature peut raisonnablement être considérée comme fiable. LCL LE CREDIT LYONNAIS PAGE 5/13

6 3 POLITIQUE DE SIGNATURE ELECTRONIQUE 3.1 DENOMINATION ET IDENTIFICATION La présente est nommée : Politique de signature LCL clientèle des particuliers et professionnels. Dans la suite de ce document, il y sera fait référence sous le nom. L OID de cette est : [ ]. 3.2 CHAMP D APPLICATION La présente politique de signature s applique aux opérations, telles que décrites ci-après, et effectuées à distance entre LCL et son client, personne physique majeure capable, agissant dans le cadre d une activité professionnelle ou non professionnelle, à savoir : l'ouverture de comptes, hors les comptes de dépôt et comptes courants ; la souscription de services ; la validation d'opérations en ligne. Les conditions suivantes sont toutes nécessaires : L'Applicatif-Accepteur est un service proposé par LCL à ses clients, personnes physiques majeures capables, agissant dans le cadre d une activité professionnelle ou non professionnelle. L'Applicatif-Accepteur LCL met à disposition du Signataire un Outil de signature, pour qu'il puisse signer électroniquement les documents. Cette ne s'applique donc pas si l'une de ces conditions ci-dessus mentionnées n'est pas remplie. 3.3 LISTE D AUTORITES DE CERTIFICATION CONCERNEES PAR LA POLITIQUE DE SIGNATURE Au regard des services, les certificats appartenant à l une des gammes référencées ci-dessous peuvent être considérés comme valides : LCL Souscription en ligne : cette gamme est caractérisée par la Politique de Certification désignée par l'oid LCL Certification : cette gamme est caractérisée par la Politique de Certification désignée par l OID Si de nouvelles gammes de certificats devaient être référencées, la présente serait mise à jour pour les mentionner explicitement. 3.4 MODIFICATION ET APPLICATION DE LA POLITIQUE DE SIGNATURE Cette sera revue périodiquement par LCL, notamment pour : Mettre à jour la liste des gammes de certificats concernées par la ; S adapter aux évolutions technologiques; S adapter aux éventuelles évolutions juridiques. La périodicité minimale de révision de cette est de un (1) mois. Le tableau indiquera les principales modifications de ce document en comparaison à la version antérieure. Version Date Principaux points de modification Juillet 2007 Création du document LCL LE CREDIT LYONNAIS PAGE 6/13

7 Tableau 1 : Historique de la La présente version de la s applique à l ensemble des opérations de validation effectuées sur un certificat appartenant à l une des gammes de certificats référencées à l article 3.3, pour le compte d un Applicatif Accepteur LCL pendant la période suivante : à compter du 1 er Juillet 2007, jusqu à trente (30) jours après publication d une nouvelle version. Elle continue de s appliquer après cette date à toutes les opérations de validation qui avaient été réalisées au cours de cette période. 3.5 PUBLICATION, DEPOT ET DIFFUSION Cette est publiée par LCL sur son site Internet dédié à la certification à l'adresse suivante : FREQUENCE DE DIFFUSION La est mise à jour après chaque modification (comme décrit à l article 3.4. des présentes). 3.7 CONTROLE D ACCES Des habilitations spécifiques sont mises en place afin de n autoriser l accès en modification à la qu au personnel autorisé. 3.8 ARCHIVAGE Les Politiques de Signature consécutives seront archivées et consultables en ligne à l adresse mentionnée au 3.5 dans la perspective de la vérification d une validation a posteriori. 3.9 COORDONNEES DES ENTITES RESPONSABLES DE LA POLITIQUE DE SIGNATURE Organisme responsable LCL est l organisme responsable de cette : LCL LE CREDIT LYONNAIS BAP Banque en ligne rue de Richelieu Paris Contact Pour toute information sur cette : LCL LE CREDIT LYONNAIS PAGE 7/13

8 LCL LE CREDIT LYONNAIS BAP LP Sécurisation des transactions à distance Chef de produit Certification 6-8 rue Ménars Paris 3.10 REFERENCES NORMATIVES ET TECHNIQUES [RFC3370] : Cryptographic Message Syntax (CMS). Texte original disponible à l URL : [RFC3280] : IETF RFC 3280 (Proposed standard) Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Ce document rend obsolète la RFC Texte original disponible à l URL : [RFC3275] : IETF RFC 3275 (Draft standard) (Extensible Markup Language) XML-Signature Syntax and Processing. Texte original disponible à l URL : [RFC3125] : IETF RFC 3125 (Experimental standard) Electronic Signature Policies. Texte original disponible à l URL : [ETSI_TS101733] : ETSI TS V Electronic Signature Formats. Texte original disponible à l URL : [ETSI_TS102041] : ETSI TS V Signature Policies Report. Texte original disponible à l URL : [CEN/ISSS_WS/ESIGN_AREAG2] : CEN/ISSS WS/E-Sign Area G2 Procedures for electronic signature verification. Texte original disponible à l URL : [X.509] : ITU-T Recommendation X.509 (1997 E): Information Technology - Open Systems Interconnection - The Directory: Authentication Framework, June LCL LE CREDIT LYONNAIS PAGE 8/13

9 4 INTERVENANTS 4.1 ROLE Rôle de l Autorité de Certification L Autorité de Certification est un établissement qui distribue et opère pour le compte de ses clients un service d émission de certificats garantissant l identité de leur Porteur (indépendamment de l usage du certificat : authentification, signature, etc.). Dans le cadre de cette, ce rôle est assuré par LCL Rôle du Signataire Le Signataire est une personne physique majeure capable qui, à la lecture d'un document ou formulaire sous une forme électronique, décide de signer ce document ou formulaire à l'aide de son certificat électronique. Il s'agit donc nécessairement d'un Porteur. Il incombe notamment au Signataire de : prendre connaissance du formulaire ou du document présenté dans sa globalité ; décider ou non d'apposer sa Signature Électronique au document ou au formulaire présenté Rôle de l'applicatif Accepteur LCL L Applicatif Accepteur LCL offre des services en ligne sécurisés à l aide de certificats et de signatures électroniques. Il présente les documents à signer au Signataire au moyen d'un Outil de Signature. Techniquement, pour savoir si un certificat ou une signature est fiable, l Applicatif Accepteur LCL s adresse à la Plate-Forme de Validation à l aide du module d interrogation fourni par l Autorité de Validation Rôle de l Autorité de Validation L Autorité de Validation opère une Plate-Forme de Validation qui réalise les opérations techniques nécessaires à la vérification de la fiabilité d un certificat ou d une signature. Ces opérations permettent de s'assurer que la signature est techniquement intègre (le document n'a pas été modifié après LCL LE CREDIT LYONNAIS PAGE 9/13

10 signature), et que le certificat ayant servi à réaliser cette signature est valide au moment de la vérification (notamment qu'il n'est pas révoqué ou expiré, et qu'il a été émis par une Autorité de Certification autorisée par l'applicatif Accepteur LCL). L'Autorité de Validation élabore des constats pouvant servir d'éléments de preuve. 4.2 OBLIGATIONS Obligations de l Autorité de Certification. Les obligations relatives à l'autorité de Certification sont indiquées dans sa Politique de Certification Obligations incombant au Signataire Les obligations incombant au Signataire en tant que Porteur sont indiquées dans la Politique de Certification dont le Signataire a pris connaissance et qu il a accepté lors de l émission du Certificat Obligations incombant à l Applicatif Accepteur LCL La présente ne crée pas par elle-même d'obligations particulières à la charge de l'applicatif-accepteur LCL lorsqu'il reçoit un document dont la signature est reconnue valide vis à vis de cette. En tout état de cause, il est de la responsabilité de l'applicatif Accepteur LCL de vérifier la Signature Electronique du Signataire dans les termes et condition de l articles des présentes, et de rejeter tout document ou formulaire qui n'est pas signé par le Signataire, ou qui a été modifié après signature (document falsifié). LCL LE CREDIT LYONNAIS PAGE 10/13

11 5 SIGNATURE ELECTRONIQUE ET VALIDATION 5.1 DONNEES SIGNEES Au sein d un fichier signé, les données signées sont composées des éléments suivants : le document original tel que présenté à la signature ; les propriétés de signature telles que définies au paragraphe du présent document. 5.2 CARACTERISTIQUES DES SIGNATURES Type de signature Les signatures électroniques sont de type enveloppantes Norme de signature Les signatures respectent l une des deux normes suivantes : «PDF Reference» en version 1.6 ou supérieure ; XAdES (ETSI TS ) en version ou supérieure. Conformément à la norme, les propriétés signées comprennent au moins les éléments suivants : le certificat du signataire ; la date et l heure de signature. 5.3 ALGORITHMES UTILISABLES POUR LA SIGNATURE Algorithme de condensation Les algorithmes de condensation à utiliser sont SHA-1 ou SHA Algorithme de chiffrement L algorithme de chiffrement à utiliser est RSA. 5.4 CONDITIONS POUR DECLARER VALIDE LES DONNEES SIGNEES Les données signées sont considérées comme valides lorsque les conditions suivantes sont remplies : vérification positive du respect de la norme de signature; vérification positive de l appartenance du certificat du signataire à une famille de certificat reconnue par l Applicatif Accepteur LCL; vérification positive du certificat du signataire et de tous les certificats de la chaîne de certification: validité temporelle, statut, signature cryptographique ; vérification positive de l intégrité des données transmises par calcul de l empreinte et comparaison avec l empreinte reçue ; vérification positive de la signature électronique apposée sur les données en utilisant la clé publique du signataire contenue dans le certificat transmis. LCL LE CREDIT LYONNAIS PAGE 11/13

12 5.5 EFFETS DE LA SIGNATURE ELECTRONIQUE VALIDE. Le présent article vient compléter les autres conventions liant le Signataire à LCL qui demeurent applicables sauf dérogation expressément prévue par les présentes. La signature par l'utilisation d'un certificat électronique telle que définie dans le cadre des présentes, permet l'identification sur le service, l'ouverture de comptes, hors les comptes de dépôt et comptes courant, la souscription de services ou la validation d'opérations effectuées à distance. L'utilisation de la Signature Electroniques par le Signataire emporte les mêmes obligations juridiques à son égard que l apposition de sa signature manuscrite pour son identification et la preuve de son consentement aux opérations effectuées en ligne. La signature d'un document contractuel au moyen d'une Signature Électronique manifeste le consentement du Signataire aux droits et obligations découlant du contenu dudit document, au même titre qu'une signature manuscrite.. En d autres termes, la responsabilité du signataire (dont l identité est indiquée dans le champ Subject du certificat) est engagée sur le document dont l empreinte figure dans la signature. Cette signature manifeste son consentement sur le contenu du document et sur les droits et obligations qui en découlent. LCL LE CREDIT LYONNAIS PAGE 12/13

13 6 DISPOSITIONS JURIDIQUES 6.1 DROIT APPLICABLE Le présent document est régi par la loi Française. 6.2 DONNEES NOMINATIVES En conformité avec les dispositions de la loi n du 6 janvier 1978, modifiée le 6 Août 2004 relative à l informatique, aux fichiers et aux libertés, le traitement automatisé des données nominatives réalisé à partir de la Plate-forme de Validation de signature du Crédit Lyonnais a fait l objet d une déclaration auprès de la Commission Nationale de l informatique et des Libertés (CNIL). Les données personnelles recueillies dans ce cadre sont utilisés par LCL et ses partenaires et/ou sous-traitants pour la gestion et la validation de la Signature Electronique. Le Signataire dispose d un droit d accès, de rectification et d opposition portant sur les données le concernant, en écrivant à l agence LCL dans laquelle le Signataire a son compte. LCL LE CREDIT LYONNAIS PAGE 13/13